OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち日記

TL;DR やっぱり書いていたら長文になってしまいました。あまりちゃんと推敲する気力がないので、変な文章になっているかもしれません。ご了承いただける方のみお読みください。 1. はじめに 昨晩未明にOpenSSL-1.0.2d, 1.0.1pがリリースされました。事前に予告されていた通り深刻度高の脆弱性CVE-2015-1793が修正されています。Advisoryを見ると、この脆弱性がiojs/Nodeに影響があるということが判明したので直ちにiojs/Nodeのアップデートを行い、今朝未明に無事脆弱性対応版をリリースしました。 今回が初めてではありませんが、深夜に日欧米のエンジニアがgithub上で互いに連携しながら速やかにセキュリティ対策のリリース作業を行うことは何回やってもなかなかしびれる経験です。時差もありなかなか体力的には辛いものがありますが、世界の超一流のエンジニアと共同でリア

[vanbraam]

勉強になった;OpenSSLに文句を言ってる人は,自分で代替を作ればいいんじゃないかな.自分はむしろセキュリティみたいな日の当たらない分野でこういう地道なバグ検出/改修に取り組んでる人々には敬意しかないが

[harupu]

説明わかりやすい

[PowerEdge]

なんて分かりやすい解説なんだ

[Mu_KuP]

この泥縄感、sendmailクラスだなぁ。／そろそろ、代替手段を探さないと、永遠にパッチ充てさせられる感もあるな。

[tneeds]

わかりやすい

[indication]

図がとても分かりやすい。しかしながら、よく見つけるなぁ

[nharuki]

OpenSSL、またおまえか！

[lesamoureuses]

すごくわかりやすかった

[kazuhooku]

すばらしい解説

[damedom]

すげえ分かりやすい

[komorih]

CVE-2015-1793 の脆弱性と SSL/TLS クロス証明書の仕組みが分かる

[moutend]

+1

[mapk0y]

すっごいわかりやすい

[letsspeak]

OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち日記 (id:jovi0608 / @jovi0608)

[ktakemoto]

っほええ

[daybeforeyesterday]

うーむ

[sahiro316]

ぅおっぷ。>"CA:FALSEとなっている通常中間証明書として使えない証明書を、中間証明書と偽造し、正当な証明書チェーンとして検証をパスさせる" そしてわかりやすい解説。

[kibitaki]

うぉ！またアップデートせねばか。でも、お疲れさまっす。読みやすくて、むしろ安心感が芽生える不思議。

[rti7743]

なんつーか、アルゴリズムが複雑すぎるんじゃないの。

[LNCQDGAN]

またパスワード変えなきゃならないの？

[homarara]

OpenSSLどんだけ脆弱性見つかりゃ気が済むんだ。

[causeless]

"@tamosan メモ：OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち…" via https://twitter.com/tamosan/status/619490700170661888

[chinjaorosu]

メモ: 5.から出てくるtrustedな中間証明書というのが存在するものかが分からず。初めからtrustedなものはクライアント側にあるルート証明書だけだと思っていた。

[akrtak]

これは勉強になる

[TokyoIncidents]

やー、さすがの解説。勉強になります！

[yosuke_furukawa]

はー、なるほど、、、すっきり。

[Jxck]

おつかれまさです！！